问题标签 [adfs3.0]

我有以下设置：

带有 ADFS 3.0 的 Windows 2012 r2。WordPress 设置为 SP（依赖方信任），SimpleSAMLphp 设置为 IdP（声明方信任）。

我想在 SSP 的帮助下对 WordPress 用户进行身份验证。控制流程就像：用户登录到 WordPress。然后，该页面会显示在 ADFS 服务器上配置的 IdP 提供程序的数量。用户选择 SSP。用户通过 SSP 进行身份验证，并将响应发送到 ADFS，然后将信息传递给 WordPress。

我已经配置了所有的依赖和索赔方并且它单独运行良好（WP-ADFS、ADFS-SSP）但是当我尝试使用 SSP 对 WP 进行身份验证时，它给了我error: The SAML authentication request had a NameID Policy that could not be satisfied.

我将规则设置为：索赔方规则：

将传入规则：NameID 临时转换为 Windows 帐户名称

依赖方规则：

规则1：

LDAP 规则：SAM-Account-Name->Windows 账户名，E-Mail-Addresses->Email 地址

规则 2：

转换传入声明：Windows 帐户名称-> NameID 瞬态标识符

我刚刚开始在 Windows 服务器上使用 SSO，所以对声明规则不太了解，我猜它可能有问题，因为所有模块都运行正常。（例如：WP 作为 SP，ADFS 作为 IdP，ADFS 作为 SP，SSP 作为 IdP）。

我到底做错了什么。

如果我错过了任何细节，也请告诉我。

谢谢！

好吧，我已经被困了好几天了，所以这是我唯一的希望。

我已经配置了带有 ADFS 3.0 的 Windows 2012 r2、带有 SAML 2.0 单点登录插件的 bitnami Wordpress (4.2.2) 和带有 SimpleSAMLphp 1.13 的 Ubuntu 服务器。

Wordpress 配置如下所示：

WordPress NameID 政策：

WordPress 属性：

对于身份验证源，我使用的是 SSP 的文件模块。它具有以下属性：

User-Name用于用户 ID、mail用户的电子邮件地址和Filter-Id用户组。

在 ADFS 方面，我已将声明提供者信任配置为 SSP，将依赖方的信任配置为 WP。

这些索赔规则是：

SSP：

规则 1：转换名称 id 策略。如果未设置此规则，WP 的 SSP 会给出 NameIDPolicy 无效错误。

c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] == "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);

规则 2：通过所有声明

c:[Type == "https://example.com/simplesamlphp/saml2/idp/metadata.php"] => issue(claim = c);

WordPress：

规则 1：将名称属性转换为 WP 的属性

c:[Type == "User-Name"] => add(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Value = c.Value);

规则 2：转换邮件属性

c:[Type == "mail"] => add(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/emailaddress", Value = c.Value);

规则 3：转换组属性

c:[Type == "Filter-Id"] => add(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/Group", Value = c.Value);

规则 4：转换为 Givenname 属性

c:[Type == "User-Name"] => add(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/givenname", Value = c.Value);

规则 5：转换为姓氏属性

c:[Type == "User-Name"] => add(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/surname", Value = c.Value);

规则 6：转换名称 ID 政策并发出所有声明

c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress");

用户获得良好的身份验证（SP/IdP-Initiated）。但在 WP 方面，我收到错误消息Username was not provided。

ADFS 跟踪器日志显示我SSO token is null or empty. Cannot write SSO token to Cookies.

我检查了 IdP 的用户登录，它显示用户已登录。跟踪器日志还显示Valid assertion returned from 'https://example.com/simplesamlphp/saml2/idp/metadata.php'

我想声明规则有问题，但我不确定，因为配置看起来和工作正常。

欢迎任何指点！

谢谢！

我有以下部分：Web 服务器 -> 我的 ADFS 2.0 服务器 -> 客户端 ADFS 2.0 服务器

通信方式：网络 -> 我的 adfs -> 客户端 adfs -> 我的 adfs -> 网络

我的 adfs 2.0 在这里一切正常。问题在于我的新 ADFS 3.0 服务器没有传递我从客户端获得的声明（任何声明、名字、电子邮件、ID、什么都没有，...）正如我在 Web 部件上看到的那样，CipherData比我使用时短得多使用我的 ADFS 2.0 服务器。

ADFS 2.0 和 3.0 之间是否存在任何冲突或其他问题，或者我需要额外的设置？

我的客户登陆我的 ADFS IDP 启动的登录页面。他们经过身份验证并重定向到 SP。一切看起来都不错。但是我有一些不属于 idP 数据库（AD 域）的额外用户。我想在我的 SP 中对它们进行本地身份验证，但它们永远不会在那里重定向。他们使用“错误的用户名/密码”卡在 ADFS 中。

是否可以向 SP 发送带有“未找到用户”消息的 SAML 消息？我正在使用 ADFS 3.0

非常感谢您的所有想法和建议。

我目前遇到第三方（充当 IdP）向 ADFS（充当 RP-STS）发起 SAML SSO 的互操作问题。我们设置了一个依赖方，它将作为他们的唯一目的地，并且一般的声明提供者/SAML 元数据配置很好。

但是，在它们使用 SAML 断言启动后，它们将登陆 ADFS“您现在已登录”页面，并且它们流向应用程序的流程被停止。虽然只有一个依赖方，但没有重定向将它们带到该应用程序。在 IdP 的 POST 上使用 RelayState 参数很容易解决，对吧？这一切都在 MSDN 中列出：https ://technet.microsoft.com/en-us/library/jj127245%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

问题是，他们没有能力最终做出改变。他们的 SSO POST 只能包含 SAML 令牌，并且他们无法修改该请求正文的内容。

我的问题是，有没有办法在传入的 SAML 请求中强制使用 RelayState 值到 ADFS，或者将 ADFS 配置为默认情况下转发给第三方 IdP 发起的请求的特定依赖方？

谢谢！

在我的场景中，我有一个连接到远程 ADFS 服务器的 Web 应用程序。登录工作正常，以及传递正确的 LDAP 属性。什么不工作是退出。

对于注销，我使用了以下行，这些行当然有效，但仅作为删除 Web 应用程序 cookie 的一种措施，即 FedAuth cookie 而不是 STS cookie。

我的问题是：要删除 STS cookie 还需要做什么？

我可以使用Spring Saml Extension在 Java Web 应用程序（不是在 Spring 中）中使用 ADFS 实现单点登录。我刚刚浏览了这篇文章。它说：

对于间接选项...将 SAML SP 部署为容器上的另一个应用程序（例如 Spring SAML 或 OpenAM）并使其与您的应用程序通信 - 因此 SAML SP 使用 ADFS 执行身份验证并将其传达给您的应用程序，例如通过共享 cookie，或自定义令牌

我们具体需要做什么？据我了解，这是基于浏览器的 SSO，其中每个 Web 应用程序都需要使用 Spring saml 插件与 ADFS 进行交互。如果我错了，请纠正我。我们如何将 SAML 令牌从一个 SP 传递给多个应用程序？

我想知道是否有办法将 Microsoft ADFS 配置为分配多个角色用户。我可以为此获取相应的 SAMLResponse XML 吗？

目前我正在尝试让 Salesforce 连接到 ADFS 集群。我有它的工作，但我注意到当用户在没有先登录到 ADFS 的情况下转到他们的书签 Salesforce 页面（这些页面保存在他们浏览网站的登录点之后）他们会收到一个一般的 ADFS 错误

发生错误。有关详细信息，请联系您的管理员。

我认为此错误是意料之中的，因为它们尚未通过 ADFS 进行身份验证。

但是，当他们收到此错误时，是否有办法让他们自动重定向到 ADFS 上的登录页面以登录 Salesforce？我想增强他们的体验，这样他们就不会看到太多错误。

ADFS 位于 Server 2012 R2 上。

我对我的 ASP MVC Web 应用程序使用基于声明的身份验证。它运行良好，但过了一段时间（几分钟不活动）我收到一个空白页，什么都没有。最糟糕的是，我无法访问身份验证页面...

所以我认为有超时问题？如果我使用 Chrome 转到 cookie 面板并删除名为 FedAuth 的 cookie，一切都会恢复正常，而不是空白页面，我可以访问我的应用程序...

我检查了 ADFS 和 IIS 的事件查看器，没有错误，一切似乎都正常。有人可以有一个想法吗？

谢谢！